IE 7: un nuovo approccio alla sicurezza?

[ITALIANO (POL)]

Sono almeno due i problemi profondi, di architettura, che, come una spada di Damocle, penzolano sulla testa degli utenti di Internet Explorer: l'integrazione del browser con il sistema operativo (a partire da IE 4) e l'utilizzo degli ActiveX.

L'integrazione con il sistema consente, ad esempio, ad una vulnerabilità del browser di potersi replicare in più punti del sistema (Outlook, Sistema di Help, Office) oppure permette ad una errore del browser di insidiare il filesystem e altri punti esterni al navigatore e ai suoi componenti. Intendiamoci, non che Safari e Firefox siano al riparo da questi problemi (come hanno dimostrato l'ultima vulnerabilità di Firefox e le vecchie di Apple), ma Explorer vi è più esposto e i problemi più amplificati.

Gli ActiveX sono invece applicazioni in grado di girare all'interno del browser e di accedere al sistema operativo. Sono pericolosi, certo, né più né meno come un programma installabile. Ma sono diventate una porta aperta del browser verso l'esterno. Anche Firefox ha i suoi ActiveX (si chiamano XPCOM), ma sinora non sono state registrate falle sfruttabili.

Bene: gli ActiveX e l'integrazione con il sistema sono due delle priorità da correggere nel futuro Internet Explorer 7 che, in quanto a sicurezza, sarà davvero, a leggere i messaggi ufficiali del team IE, una bella rivoluzione. La barriera fra IE e il sistema sarà rafforzata dal Protected Mode, che purtroppo funzionerà solo in Windows Vista e impedirà al browser di installare qualsiasi programma e di eseguire codice al di fuori dei suoi limiti. Gli ActiveX, già parzialmente corretti dal Service Pack 2, saranno invece blindati: potranno essere eseguiti solo quelli impostati per eseguirsi all'interno del browser. Basterà?

[Max72]

No, non bastera' come nonostante i service pack e le patch rilasciate dalla 1ma versione di Explorer non sono mai bastate.

Il problema resta e restera' legato come sempre, all'assoluta mancanza di tempestivita' nel correre ai ripari in caso di un potenziale bug.

Nessun browser e' sicuro al 100%, tutti i browser prima o poi rivelano falle, ma se prendiamo Firefox, recentemente nella 1.0.6(5) , risultava una falla bella grossa, pero' nell'arco di 24 ore, si e' provveduto a rilasciare immediatamente la 1.0.7.

Su debian, la mia Mepis puntata su testing ed unstable, era gia' provvista di firefox 1.07 dopo 30 minuti dal rilascio, idem per kubuntu puntata su Hoary(orami stabile) con i repository dedicati al security, disponibile 24 ore dopo il rilascio.

La differenza sta' in questo e la microsoft non e' (e credo) non sara' mai in grado di muversi a tale livello.

Poi solo a sentir parlare di "I.E sicuro" a patto di passare a Windows Vista con la
"ticontrolloanchequandovaialcesso security", fa' ridere gia' piu' di un utente.

Incapaci e sfigati come al solito.